Masa syfu podczas aktualizacji WMP

[FiK]

Cześć,

 

żona chciała obejrzeć film. Nie działał, zgodnie z readme uruchomiła Windows Media Player, który nie mogąc odtworzyć filmu nakazał pobrać "Fixa" do codeców, wszystko pod patronem Windowsa podobno...

 

Zassał się DivX Player czy jakoś tak i bramy piekielne się otworzyły :|

 

Gmer w ogóle się nie uruchamia, nawet w trybie awaryjnym (wywala bsod).

Malwarebytes trochę nam ulżyło, toteż dam log z niego, oraz screen z błędu Gmera.

 

Komputer ma preinstalowanego McAfee internet security, wszystko ma raptem tydzień.

 

Pomocy :K

malw.txt

FRST.txt

Addition.txt

Shortcut.txt

[picasso]

To na pewno nie był "patronat Windowsa" tylko jakiś zewnętrzny downloader ze śmieciami. MBAM usunął większość, ale nadal są rzeczy wymagające interwencji. Akcje do przeprowadzenia:

 

1. Klawisz z glagą Windows + X > Programy i funkcje > odinstaluj DivX Setup, Lenovo Experience Improvement, YTDownloader.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Task: {2D0F1E28-662C-4C5C-BDE3-5E1B41C020C8} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku 
Task: {5DBE6CD5-D342-444F-945F-90F8DA81A900} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {63473F0B-20A3-4E79-B13A-4FB900287DAB} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: {765EC4E9-FCBD-4847-8242-C29CB7B56447} - System32\Tasks\DolbySelectorTask => C:\Program Files\Dolby Digital Plus\ddp.exe
Task: {884A573E-C166-4098-89DA-71BD444091C4} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
Task: {A39518E1-AC7E-471C-9EC7-82421129EF0A} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku 
Task: {B37F8827-BDFD-49BF-B332-DEEED7344DCF} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: {B88F7036-E41B-41C4-8F4B-16C08820B8E6} - \SwiftSearch Auto Updater 1.10.0.25 Pending Update -> Brak pliku 
Task: {BA62DB0D-BFED-4A61-A7A8-DA1E89AD0D22} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku 
Task: {BD717486-3AA1-4741-A9E2-A4EF0BBDAE16} - System32\Tasks\rM6tDeUqcice8BlkxxN => C:\Users\Artek\AppData\Roaming\rM6tDeUqcice8BlkxxN.exe 
Task: {C51936AF-E5B9-4052-AF5F-6197866FAA5B} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku 
Task: {D6C2DF30-9E50-4C1A-958D-3164377933C4} - \SPBIW_UpdateTask_Time_3431373836393938312d5555376c345a2d5732415b34 -> Brak pliku 
Task: {E10BA004-8998-4FF5-9CFF-6350F8D710A3} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {E7616676-6484-4192-A73A-B244EB62E236} - \SwiftSearch Auto Updater 1.10.0.25 Core -> Brak pliku 
Task: {E7993F4C-CF99-46F3-9816-310DD628D602} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku 
Task: {ECC1DB1E-1E1D-49E6-A5B1-32C44FF31673} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku 
Task: C:\WINDOWS\Tasks\rM6tDeUqcice8BlkxxN.job => C:\Users\Artek\AppData\Roaming\rM6tDeUqcice8BlkxxN.exe 
HKLM\...\Policies\Explorer: [NoFolderOptions] 0
HKLM\...\Policies\Explorer: [NoControlPanel] 0
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
SearchScopes: HKU\S-1-5-21-2917318248-312038480-3579672598-1001 -> DefaultScope {32B65AEB-5645-494E-B171-D5A461F21AB7} URL =
SearchScopes: HKU\S-1-5-21-2917318248-312038480-3579672598-1001 -> {32B65AEB-5645-494E-B171-D5A461F21AB7} URL =
C:\Program Files (x86)\c8a346ee-cfc8-4a6e-8dbb-4c0a7e12254c
C:\Program Files (x86)\globalUpdate
C:\Program Files (x86)\YTDownloader
C:\Users\Artek\AppData\Local\BrowserHelper
C:\Users\Artek\AppData\Local\CrashRpt
C:\Users\Artek\AppData\Local\globalUpdate
C:\Users\Artek\AppData\LocalLow\lpm.dat
C:\Users\Artek\AppData\Roaming\rM6tDeUqcice8BlkxxN
C:\Users\Artek\AppData\Roaming\RunDir
C:\Users\Artek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\YTDownloader
C:\WINDOWS\chromebrowser.exe
C:\WINDOWS\system32\Drivers\etc\hp.bak
C:\WINDOWS\SysWOW64\029B560A371F4E00AB32838EBC01B9E7
File: C:\Programdata\Lenovo App Services\Engine\LenovoAppServices.exe
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC} /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\mbot_pl_014010132_is1 /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Uruchom Zoek. W oknie wklej:

 

globalupdate Helper;u

 

Klik w Run Script. Powstanie log zoek-results.log.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition. Dołącz też pliki fixlog.txt i zoek-results.txt (po zmianie nazwy z *.log)..

[FiK]

Zrobione.

 

Podczas pracy zoek-a wyskoczył błąd (screen poniżej).

Załączam logi.

 

FRST.txt

Addition.txt

Fixlog.txt

zoek-results.txt

[picasso]

Pomimo błędu Zoek wykonał zadanie. I poprawki:

 

1. Otwórz Notatnik i wklej w nim:

 

HKLM-x32\...\Run: [DivXMediaServer] => C:\Program Files (x86)\DivX\DivX Media Server\DivXMediaServer.exe
HKLM-x32\...\Run: [YTDownloader] => "C:\Program Files (x86)\YTDownloader\YTDownloader.exe" /boot
HKU\S-1-5-21-2917318248-312038480-3579672598-1001\...\Run: [YTDownloader] => "C:\Program Files (x86)\YTDownloader\YTDownloader.exe" /boot
Task: {618AB36A-6E9E-42EB-94E0-19921B6EA8AF} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe [2014-09-10] (Lenovo)
Task: {77CC3713-F10F-481B-BBA2-955CDDF49451} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2014-09-02] (Lenovo)
C:\Program Files (x86)\DivX
C:\ProgramData\DivX
C:\Users\Artek\AppData\Roaming\DivX

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

 

2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz wynikowy log z folderu C:\AdwCleaner.

[FiK]

Zrobione, załączam logi.

 

Czy mam usuwać to, co znalazł ADW?

AdwCleanerS1.txt

Fixlog.txt

[picasso]

AdwCleaner nie będzie używany do usuwania. Jeden z wyników to poważny fałszywy alarm, AdwCleaner chce usuwać cały folder C:\WINDOWS\Installer związany z Instalatorem Windows, co uszkodziłoby już istniejące poprawne instalacje. Wyniki kierujące na adresy mystart.lenovo.com nie stanowią zaś problemu, to firmowe przekierowania. Kolejna porcja czynności:

 

1. W Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj imgur Extension by Metronomik, OneTab. AdwCleaner czepia się obu rozszerzeń i nie jestem pewna dlaczego, bo są hostowane w Chrome Web Store.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone, więc wszystko aktywuj ponownie.

2. Otwórz Notatnik i wklej w nim:

 

DeleteKey: HKCU\Software\GlobalUpdate
DeleteKey: HKCU\Software\InstalledBrowserExtensions
DeleteKey: HKCU\Software\Tutorials
DeleteKey: HKLM\SOFTWARE\InstalledBrowserExtensions
DeleteKey: HKLM\SOFTWARE\ShopperPro
DeleteKey: HKLM\SOFTWARE\Wow6432Node\GlobalUpdate
DeleteKey: HKLM\SOFTWARE\Wow6432Node\InstalledBrowserExtensions
DeleteKey: HKLM\SOFTWARE\Wow6432Node\NtSvcHandler
DeleteKey: HKLM\SOFTWARE\Wow6432Node\26b8caad-2da8-46ff-91d7-9ae42d65bb09
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\AppID\{3278F5CF-48F3-4253-A6BB-004CE84AF492}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\AppID\{577975B8-C40E-43E6-B0DE-4C6B44088B52}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{3278F5CF-48F3-4253-A6BB-004CE84AF492}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{3B5702BA-7F4C-4D1A-B026-1E9A01D43978}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{577975B8-C40E-43E6-B0DE-4C6B44088B52}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{5E89ACE9-E16B-499A-87B4-0DBF742404C1}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{69F256DF-BA98-45E9-86EA-FC3CFECF9D30}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{6E87FC94-9866-49B9-8E93-5736D6DE3DD7}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{7E49F793-B3CD-4BF7-8419-B34B8BD30E61}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{834469E3-CA2B-4F21-A5CA-4F6F4DBCDE87}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{8529FAA3-5BFD-43C1-AB35-B53C4B96C6E5}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{ADBC39BE-3D20-4333-8D99-E91EB1B62474}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{E06CA7F5-BA34-4FF6-8D24-B1BDC594D91F}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{F6421EE5-A5BE-4D31-81D5-C16B7BF48E4C}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{FD8E81D0-F5FE-4CB1-9AEA-1E163D2BAB78}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{6EDBF8C0-C94C-4A13-956F-E393BCA5BA4B}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{61AB12E1-A5FF-11D1-B2E9-444553540000}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{82351441-9094-11D1-A24B-00A0C932C7DF}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{A8F7D0A5-7074-40B8-9BDC-1174BDD0A132}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{D14D64BC-A0E4-42E3-BB72-FB41EA43C198}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{DD1F043F-ABC8-4643-8B95-D2C5B22BB019}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{E3F3E8F9-F747-4DD6-BA6B-82A6CE1E0860}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{ED0B64D4-BF27-4521-AD27-190F49BF5EA7}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{023E9EC8-B147-40EB-B0B3-DF90618FB371}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{0522D9A4-4D57-437D-978D-E5B3B6C9005D}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{07F41522-AF7D-4F26-B394-094F059FDB8A}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{0C40F472-7407-4467-8914-1DEA7C326972}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{212E6D43-6062-492A-B8CC-144669FF11ED}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{224FE662-1E6D-4BC0-AEBB-9E2FB4057BE9}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{3A807417-B46D-4D37-8C9A-19AC6DE204F9}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{3CC60715-D6C5-429D-830E-43FA3F86C61D}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{4517D94C-19BA-46FA-BE66-2A30CEAC4A85}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{555D7146-94A8-4C94-AE76-C39CDC7F7705}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{59D188FA-757A-424E-8C93-F58FFD896BD7}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{8120D9D6-785C-4413-9C0C-DF2028C56FAD}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{823AE2EB-E62C-4847-B192-C99B91B92416}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{9B4F7CFE-987D-410E-A8E4-20182E0B3C24}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{9B9A45F4-18FC-484A-BACA-076D78273D8E}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{A6D54287-7939-466A-8579-92546D946C8C}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{A78EDAFB-926F-4D93-AB13-8232D7378EB1}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{82351433-9094-11D1-A24B-00A0C932C7DF}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{5E89ACE9-E16B-499A-87B4-0DBF742404C1}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\App Paths\jg.exe
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\Stats\{5645E0E7-FC12-43BF-A6E4-F9751942B298}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\Stats\{C7BF8F4B-7BC7-4F42-B944-3D28A3A86D8A}
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\NetTcpHandler
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Class\{0014298C-A9BA-440D-AAA8-AD12C7010EE5}
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Class\{181A06EA-B82C-47DE-B851-E20FD0E1CC7D}
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Users\Artek\AppData\Local\Installer
RemoveDirectory: C:\zoek_backup
CMD: del /q "C:\Users\Artek\AppData\Local\Google\Chrome\User Data\Default\databases\chrome-extension_lkadffjmnaiokkdncgdlecdegajoiemi_0"
CMD: del /q "C:\Users\Artek\AppData\Local\Google\Chrome\User Data\Default\Local Extension Settings\lkadffjmnaiokkdncgdlecdegajoiemi"
CMD: del /q "C:\Users\Artek\Documents\gmer przed startem.txt"
CMD: del /q C:\Users\Artek\Downloads\FRST64*.exe
CMD: del /q C:\Users\Artek\Downloads\sprc9fd7.exe
CMD: del /q C:\Users\Artek\Downloads\zoek.exe
CMD: del /q C:\WINDOWS\Minidump\*.dmp
CMD: del /q C:\zoek-results.txt

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

 

3. Zresetuj system i zaloguj się na limitowane konto agathq. Pobierz na nim FRST, uruchom przez dwuklik (a nie za pomocą "Uruchom jako Administrator", co zmieni kontekst konta) i dostarcz log FRST z Addition (Shortcut nie jest mi potrzebny).

[FiK]

Zrobione

 

Drobna obsuwa czasowa z mojej strony, ale chyba to nic złego.

ADW wyłączyłem bez usuwania.

 

Logi tak jak chciałaś, fix ode mnie i pełny frst od żony

Fixlog.txt

FRST.txt

Addition.txt

[picasso]

1. Na koncie żony nie ma nic widocznego. Tu tylko drobna operacja w Google Chrome: Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy śmieci qone8.com, odin.softonic.pl, qone8. Skasuj też FRST i jego logi z Pulpitu.

 

2. Przełącz się na konto Artek. Skasuj cały folder frst z Pobranych. Następnie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.